Apenas no primeiro semestre de 2022, o número de novas variantes de ransomware aumentou quase 100% em comparação com o período de seis meses anterior. Esse crescimento explosivo em novas variantes de ransomware se deve principalmente a mais invasores aproveitando o Ransomware- assinaturas como serviço (RaaS) na dark web.
No entanto, mesmo com o aumento das variantes de ransomware, as técnicas que vemos mal-intencionados usando para entregar ransomware permanecem praticamente as mesmas. Essa previsibilidade é uma boa notícia porque as equipes de segurança têm um plano confiável para se proteger contra esses ataques. Aqui está uma visão mais detalhada das estratégias de mitigação de ransomware e como você pode implementá-las em sua organização.
Você sabe o que é Ransomware?
Ransomware é um malware que mantém dados como reféns em troca de um resgate. Atualmente, o ransomware é frequentemente enviado por e-mails de phishing. Esses anexos maliciosos infectam o computador do usuário uma vez abertos. O ransomware também pode se espalhar por meio de download drive-by, que acontece quando um usuário visita um site que está infectado. O malware nesse site é baixado e instalado sem que o usuário perceba.
A engenharia social também desempenha um papel em um ataque de ransomware. É quando um invasor tenta manipular alguém para divulgar informações confidenciais.
O que é Mitigação de Ransomware?
Tentativas de ataques e violações de dados são inevitáveis, e nenhuma organização quer ser forçada a decidir entre pagar um resgate e perder dados importantes. Felizmente, essas não são as duas únicas opções. O melhor caminho a seguir é tomar as medidas apropriadas para proteger suas redes, o que diminuirá as chances de sua empresa ser atingida por ransomware. Essa abordagem requer um modelo de segurança em camadas que combine controles de rede, endpoint, borda, aplicativo e data center, bem como inteligência de ameaças atualizada.
Além de implementar as ferramentas e processos de segurança corretos, não se esqueça do papel que a educação em segurança cibernética desempenha em sua estratégia de mitigação. Ensinar os funcionários a identificar um ataque de ransomware é uma ótima defesa contra invasores inteligentes.
“Ensine os funcionários a identificar sinais de ransomware, como e-mails projetados para parecerem de empresas autênticas, links externos suspeitos e anexos de arquivos questionáveis”.
Falta de conhecimento de higiene cibernética entre os funcionários: o comportamento humano continua sendo um fator significativo na maioria dos incidentes de segurança. Além de compreender os sinais de ransomware, a falta de educação geral sobre segurança cibernética entre os funcionários pode colocar sua organização em risco. Segundo o Relatório de Investigações de Violação de Dados de 2022 da Verizon, 82% das violações ocorridas no ano passado envolveram o elemento humano.
Políticas de senha fracas, processos e monitoramento de segurança insuficientes, falta de pessoal entre as equipes de segurança e de TI, são algumas das razões que levam esses ataquem a terem sucesso.
O ransomware continua a ficar mais desagradável e caro, impactando empresas em todos os setores e geografias. Embora a maioria de nós se lembre de ataques recentes de ransomware de alto perfil envolvendo empresas como Colonial Pipeline e JBS, ocorrem inúmeros outros incidentes de ransomware que não são notícia nacional. No entanto, muitos ataques de ransomware podem ser evitados aplicando fortes práticas de higiene cibernética – incluindo a oferta de treinamento contínuo de conscientização cibernética para funcionários – e focando na implementação de medidas Zero Trust Network Access (ZTNA) e segurança de endpoint.
Listamos 5 práticas recomendadas de proteção contra ransomware
- Eduque seus funcionários sobre as características do ransomware: o treinamento de conscientização de segurança para a força de trabalho de hoje é obrigatório e ajudará as organizações a se protegerem contra uma variedade de ameaças em constante evolução. Ensine os funcionários a identificar sinais de ransomware, como e-mails projetados para parecerem de empresas autênticas, links externos suspeitos e anexos de arquivos questionáveis.
- Use engano para atrair (e deter) invasores: um honeypot é um chamariz que consiste em repositórios falsos de arquivos projetados para parecer alvos atraentes para invasores. Você pode detectar e interromper o ataque quando um hacker de ransomware for atrás do seu honeypot. A tecnologia de engano cibernético como essa não apenas usa as próprias técnicas e táticas do ransomware contra si mesmo para acionar a detecção, mas também descobre as táticas, ferramentas e procedimentos (TTP) do invasor que levaram ao seu sucesso na rede para que sua equipe possa identificar e fechar essas lacunas de segurança.
- Monitore sua rede e endpoints: Ao realizar o monitoramento contínuo da rede, você pode registrar o tráfego de entrada e saída, verificar arquivos em busca de evidências de ataque (como modificações com falha), estabelecer uma linha de base para atividade aceitável do usuário e investigar qualquer coisa que pareça fora do padrão. A implantação de ferramentas antivírus e anti-ransomware também é útil, pois você pode usar essas tecnologias para colocar sites aceitáveis na lista de permissões. Por fim, adicionar detecções baseadas em comportamento à sua caixa de ferramentas de segurança é essencial, principalmente à medida que as superfícies de ataque das organizações se expandem e os invasores continuam a aumentar a aposta com ataques novos e mais complexos.
- Olhe para fora de sua organização: considere ter uma visão de fora da rede para os riscos apresentados a uma organização. Como extensão de uma arquitetura de segurança, um serviço DRP pode ajudar uma organização a ver e mitigar três áreas adicionais de risco: riscos de ativos digitais, riscos relacionados à marca e ameaças subterrâneas e iminentes.
- Aumente sua equipe com SOC-as-a-service, se necessário: a intensidade atual que vemos em todo o cenário de ameaças, tanto em velocidade quanto em sofisticação, significa que todos precisamos trabalhar mais para permanecer no topo do nosso jogo. Mas isso só nos leva até aqui. Trabalhar de forma mais inteligente significa terceirizar tarefas específicas, como resposta a incidentes e caça a ameaças. É por isso que contar com um provedor de Detecção e Resposta Gerenciada (MDR) ou uma oferta SOC como serviço é útil. Aumentar sua equipe dessa maneira pode ajudar a eliminar o ruído e liberar seus analistas para se concentrarem em suas tarefas mais importantes.
- Embora o volume de ransomware não esteja diminuindo, várias tecnologias e processos estão disponíveis para ajudar sua equipe a mitigar os riscos associados a esse ataque. Desde programas contínuos de educação cibernética até o fortalecimento dos esforços da ZTNA, podemos manter os invasores astutos à distância.
Fonte: fortinet